超过80,000个敏感密码和密钥文件泄露在线

！image

资料来源：CryptoNewsNet 原标题：超过80,000个敏感密码和密钥文件泄露在线 原始链接：

网络安全公司 watchTowr 发现了一批泄露的密码、访问密钥和敏感配置文件，这些文件意外地从流行的在线格式化工具、JSON 格式化器和 CodeBeautify 中暴露出来。

watchTowr Labs表示，它收集了一个包含超过80,000个文件的数据集，这些文件来自用于格式化和验证代码的网站。在这些文件中，研究人员发现了用户名、密码、存储库身份验证密钥、Active Directory凭据、数据库连接字符串、FTP凭据、云环境访问密钥、LDAP配置详情、帮助台API密钥，甚至还有SSH会话的录音。

“我们一直在翻阅开发者用来快速格式化输入的平台——比如JSONFormatter和CodeBeautify。没错，你说得对——事情的发展正如你所预料的那样糟糕，” watchTowr在周二发布的博客文章中写道。

在线工具如 JSONFormatter 和 CodeBeautify 旨在美化或验证数据格式，开发人员将代码片段或配置文件粘贴到这些工具中以解决格式问题。但根据研究人员的说法，许多员工在不知情的情况下粘贴了包含生产系统中的实时秘密的整个文件。

JSON 和 CodeBeautify 泄露政府、银行和医疗保健的数据

根据安全公司的说法，泄露的数据缺陷尚未影响包括GitHub仓库、Postman工作区和DockerHub容器在内的三个平台。然而，它发现了来自JSONFormatter的五年历史内容和来自CodeBeautify的一年历史内容，总计超过5GB的丰富和注释的JSON材料。

“该工具背后的唯一开发者受到的关注如此之大，以至于任何工具主页的典型访问很快就会触发500多个网络请求，我们认为这可能会产生一些可观的联盟营销收入，” 网络安全团队解释道。

watchTowr Labs表示，来自国家基础设施、政府机构、主要金融机构、保险公司、技术提供商、零售公司、航空航天组织、电信公司、医院、大学、旅游企业，甚至网络安全供应商等行业的组织都已泄露了他们的私人信息。

“这些工具非常受欢迎，出现在搜索结果的顶部，针对诸如 'JSON 美化' 和 '最佳秘密粘贴地点' 的搜索词 (，可能是未经验证的)，被组织和管理员在企业环境和个人项目中使用，” 安全研究员杰克·诺特在博客文章中写道。

watchTowr Labs 列出了在暴露的文件中发现的几类敏感数据，如 Active Directory 凭证、代码库认证密钥、数据库访问详情、LDAP 配置信息、云环境密钥、FTP 登录凭证、CI/CD 管道密钥、私钥以及带有敏感参数的完整 API 请求和响应。

调查人员还提到了Jenkins秘密、属于一家网络安全公司的加密配置文件、来自银行的客户信息和属于一家主要金融交易所的AWS凭证，这些都与Splunk系统有关。

watchTowr: 恶意行为者正在抓取泄漏信息

根据watchTowr Labs的损害分析，许多泄露的密钥已被未知方收集并测试。在一项实验中，研究人员将假冒的AWS访问密钥上传到一个格式化平台，仅在不到两天的时间里，恶意行为者就试图滥用这些凭证。

"主要是因为有人已经在利用它，这一切真的非常愚蠢，"Knott继续说道，“我们不需要更多的人工智能驱动的代理代理平台；我们需要更少的关键组织把凭证粘贴到随机网站上。”

JSONFormatter 和 CodeBeautify 在九月暂时禁用了他们的保存功能，当时安全漏洞被提出来。JSONFormatter 表示它正在 “努力改进”，而 CodeBeautify 则表示它正在实施新的 “增强的 NSFW ( 不适合工作) 内容预防措施。”

HashiCorp 的 Vault Terraform 提供程序中的安全问题

除了泄露的凭据外，HashiCorp 还发现了一个漏洞，攻击者可以通过该漏洞绕过其 Vault Terraform Provider 中的身份验证。该公司为开发者、企业和安全组织提供云计算基础设施和保护服务。

根据软件公司周二分享的发现，Vault Terraform 漏洞影响从 v4.2.0 到 v5.4.0 的版本，源于 LDAP 认证方法中的不安全默认配置。

问题出现的原因是"deny_null_bind"参数在提供者配置Vault的LDAP认证后端时被设置为false而不是true。该参数决定Vault是否拒绝错误密码或未验证的绑定。

如果连接的 LDAP 服务器允许匿名绑定，攻击者可以在没有任何有效凭据的情况下进行身份验证并访问账户。